网络信息安全实验报告：Snort的安装与使用

安装方法：如果你安装好了libpcap后，对snort安装将是很简单，关于libpcap的安装说明，你可以看看blackfire(/~bobdai/的一些文章，关于WINDOWS下的winpcap你可以看我站上的SNIFFER FOR NT上的安装说明。

装好libpcap后，你可以使用通常的命令：1.) ./configure 2.) make3.) make install 装好后你可以使用make clean清除一些安装时候产生的文件。

（有些系统如freebsd已经支持了libpcap，所以很轻松，不用再装了）。

而WINDOWS更简单，只要解包出来就可以了；参数介绍：命令行是snort -[options] <filters>选项：-A <alert> 设置<alert>的模式是full,fast,还是none full模式是记录标准的alert模式到alert文件中；Fast模式只写入时间戳，messages, IPs,ports到文件中，None模式关闭报警。

-a 是显示ARP包；-b 是把LOG的信息包记录为TCPDUMP格式，所有信息包都被记录为两进制形式，名字如snort-0612@1385.log，这个选项对于FAST 记录模式比较好，因为它不需要花费包的信息转化为文本的时间。

Snort在100Mbps网络中使用"-b"比较好。

-c <cf> 使用配置文件<cf>,这个规则文件是告诉系统什么样的信息要LOG，或者要报警，或者通过。

-C 在信息包信息使用ASCII码来显示，而不是hexdump，-d 解码应用层。

-D 把snort以守护进程的方法来运行，默认情况下ALERT记录发送到/var/log/snort.alert文件中去。

-e 显示并记录2个信息包头的数据。

-F <bpf>从<bpf>文件中读BPF过滤器（filters），这里的filters是标准的BPF格式过滤器，你可以在TCPDump里看到，你可以查看TCPDump 的man页怎样使用这个过滤器。

实验九 snort入侵检测系统软件的使用【实验目的】（1）理解入侵检测的作用和检测原理。

（2）理解误用检测和异常检测的区别。

（3）掌握Snort的安装、配置。

（4）掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。

【实验内容】（1）安装和配置入侵检测软件。

【实验环境】WindowsXP以上操作系统【实验步骤】（1）安装数据包截取驱动程序。

双击安装文件winpcap.exe ，一直单击“NEXT”按钮完成安装。

（2）安装snort 入侵检测系统：运行snort.exe ，按照安装向导提示完成安装。

其中在installation options窗口中选择第一个选项，表示不将报警数据日志写入到数据库或将日志写入到snort 支持的windows版本的数据库MYSQL和其他ODBC数据库中。

在choose components窗口中，建议将三个组件都选中。

（3）安装the appserv open object ：运行appserv.exe ，按照安装向导提示完成安装。

其中apache HTTP Server窗口中输入WEB服务器的域名主机名称和IP 地址、管理员的EMAIL地址、WEB 服务的端口号。

在弹出的MYSQL Database 窗口中输入MYSQL的相关信息，MYSQL 数据库用户的用户和密码等。

安装完成后，WWW目录为默认的WEB页的发布目录。

在开始菜单中启动APACHE 服务器和MYSQL数据库服务器，在本地计算机的浏览器中输入http://127.0.0.1 ，若出现教材中图7-16 的窗口表示APACHE服务器工作正常。

（4）ACID软件包的安装：解压缩acid.rar 数据包，解压缩到c:\appserv\www\acid 目录中。

（5）ADODB软件包的安装：解压缩adodb.rar 数据包，解压缩到c:\appserv\www\adodb 目录中。

（6）PHP图形库的安装：解压缩jpgraph.rar 数据包，解压缩到c:\appserv\www\jpgraph 目录中。

Snort使用报告一、软件安装安装环境:windows 7 32bit软件:Snort 2.9.5.5、WinPcap 4.1.1规则库: snortrules-snapshot-2970.tar.gz二、实验内容熟悉入侵检测软件Snort的安装与使用三、实验原理Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS四.安装步骤1.下载实验用的软件Snort、Snort的规则库snortrules 和WinPcap.本次实验使用的具体版本是Snort 2.9.5.5、snortrules-snapshot-2970.tar.gz 和WinPcap 4.1.3首先点击Snort安装点击I Agree.同意软件使用条款，开始下一步，选择所要安装的组件：全选后，点击下一步：选择安装的位置，默认的路径为c:/Snort/,点击下一步，安装完成。

软件跳出提示需要安装WinPcap 4.1.1以上2.安装WinPcap点击WinPcap安装包进行安装点击下一步继续：点击同意使用条款：选择是否让WinPcap自启动，点击安装：安装完成点击完成。

此时为了看安装是否成功，进入CMD，找到d：/Snort/bin/如下图：（注意这个路径是你安装的路径，由于我安装在d盘的根目录下，所以开头是d:）输入以下命令snort –W，如下显示你的网卡信息，说明安装成功了！别高兴的太早，这只是安装成功了软件包，下面还要安装规则库：3.安装Snort规则库首先我们去Snort的官网下载Snort的规则库，必须先注册成会员，才可以下载。

具体下载地址为https:///downloads，往下拉到Rules，看见Registered是灰色的，我们点击Sign in：注册成功后，返回到这个界面就可以下载了。

⼊侵检测软件Snort的使⽤实验1．安装和配置 IDS 软件 Snort并查看⽹卡信息从返回的结果可知主机上有哪个物理⽹卡正在⼯作及该⽹卡的详细信息。

图中显⽰此计算机只有1个⽹卡，且该⽹卡具有物理地址。

2.输⼊ snort –v –i1命令启⽤ Snort并捕捉到⼀些流量3. 配置snort3.1打开 snort配置⽂件，设置 Snort 的内部⽹络和外部⽹络⽹络检测范围。

将 Snort.conf ⽂件中的 var HOME_NET any 语句的 any 改为⾃⼰所在的⼦⽹地址，即将Snort 监测的内部⽹络设置为所在的局域⽹。

我实验的机器ip地址为192.168.1.131，故⼦⽹地址应该为192.168.1.0/243.2配置⽹段内提供⽹络服务的 IP 地址，只需要把默认的$HOME_NET 改成对应的主机地址即可。

var DNS_SERVERS $HOME_NETvar SMTP_SERVERS HOME N ETvarHTTP S ERVERS HOME_NETvar SQL_SERVERS HOME N ETvarTELNET S ERVERS HOME_NETvar SNMP_SERVERS $HOME_NET3.3配置动态预处理器库# path to dynamic preprocessor librariesdynamicpreprocessor directory c:\Snort\lib\snort_dynamicpreprocessordynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dce2.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dns.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_sdf.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_smtp.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ssh.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ssl.dlldynamicengine c:\Snort\lib\snort_dynamicengine\sf_engine.dll3.4修改配置⽂件 classification.config 和 reference.config的路径:include c:\Snort\etc\classification.configinclude c:\Snort\etc\reference.config其中 classification.config ⽂件保存的是规则的警报级别相关的配置，reference.config ⽂件保存了提供更多警报相关信息的链接。

网络信息安全实验报告实验三：网络攻防实验【实验目的】1、掌握基于snort的入侵检测系统的搭建步骤；2、掌握常见的网络攻击方式，并学会使用snort检测攻击；【实验内容】1、使用snort搭建入侵检测系统；2、设计攻击，并使用入侵检测系统检测攻击；【实验环境】平台：Ubuntu 18.04+ kali虚拟机框架：snort 2.9.11；【实验步骤】1.入侵检测系统的搭建1.1 安装php、apache和mysql按照如下命令安装需要的包如下图所示，php服务已经安装好，新建一个php文件，内容为()，然后打开，说明apache2和php服务都已经配置完成1.2安装snort采用18.04以上的版本，不需要专门下载文件解压，软件源自带了2.9版本的snort，所以安装步骤较为简单，不需要从第三方源下载和编译等繁琐的步骤，只需要采用apt来安装安装成功后，显示的信息如下所示：修改配置文件，如下所示为了验证snort已经安装成功，这里添加一条新的规则，检测icmp报文，然后启动snort，进行监听。

对应的 ubuntu系统端的显示为可以看到有alert告警打出，说明添加的新规则已经生效。

1.3安装Barnyard2首先采用wget的方式来下载，也可以选择下载到本地，然后上传到虚拟机或者服务器，然后按照如下命令进行解压、编译、安装打出版本信息，证明安装成功接下来配置数据库，采用以下命令配置数据库，并在barnyard2中添加数据库配置然后启动mysql创建一个snort数据库和角色，名字也叫做snort，密码任选即可。

为了测试，这里向eth0发送数据包，然后开启barnyard2，选择连续处理模式，查看刚刚ping的记录再查看对应的日志文件可以看到也生成了最新的日志文件。

再查看数据库可以看到，数据库的条目也有所增加，新的信息已经被存入数据库之中，这一步的配置到此结束。

1.4安装BASE采用以下命令安装修改配置文件，这样的目的是为了访问的时候直接访问到base的主页：配置好后，如下所示：、2.模拟攻击2.1 Ping大包网络攻击首先编写规则，这里添加一条icmp报文的规则规则设定为，如果收到超过800字节大小的icmp报文，就输出警报信息，然后用cmd，向目标ip地址持续发送大小为1000的大包。

实验八入侵检测系统snort的安装与使用一、实验序号：8二、实验学时：2三、实验目的（1）理解入侵检测的作用和检测原理。

（2）理解误用检测和异常检测的区别。

（3）掌握Snort的安装、配置。

（4）掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。

四、实验环境每2位学生为一个实验组，使用2台安装Windows 2000/XP的PC机，其中一台上安装Windows平台下的Snort 2.9软件；在运行snort的计算机上，安装WinpCap4.1.2程序。

五、实验要求1、实验任务（1）安装和配置入侵检测软件。

（2）查看入侵检测软件的运行数据。

（3）记录并分析实验结果。

2、实验预习（1）预习本实验指导书，深入理解实验的目的与任务，熟悉实验步骤和基本环节。

（2）复习有关入侵检测的基本知识。

六实验背景1 基础知识入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测系统（Intrusion Detection System， IDS）是完成入侵检测功能的软件和硬件的集合。

随着网络安全风险系数不断揭帖，防火墙作为最主要的安全防范手段已经不能满足人们对网络安全的需求。

作为对防火墙极其有益的补充，位于其后的第二道安全闸门IDS能够帮助网络系统快速发现网络攻击的发生，有效扩展系统管理员的安全管理能力及提高信息安全基础结构的完整性。

IDS能在不影响网络及主机性能的情况下对网络数据流和主机审计数据进行监听和分析，对可疑的网络连接和系统行为进行记录和报警，从而提供对内部攻击、外部攻击和误操作的实时保护。

2 入侵检测软件Snort简介Snort是一款免费的NISD，具有小巧、易于配置、检测效率高等我，常被称为轻量级的IDS。

Snort具有实时数据流量分析和IP数据包日志分析能力，具有跨平台特征，能够进行协议分析和对内容的搜索或匹配。

snort 实验报告Snort实验报告引言：网络安全是当今信息时代的重要议题之一。

随着互联网的快速发展，网络攻击的威胁也日益增加。

为了保护网络和系统的安全，各种安全工具和技术应运而生。

Snort作为一款开源的入侵检测系统（IDS），在网络安全领域中扮演着重要的角色。

本文将对Snort进行实验研究，探讨其原理、应用以及优缺点。

一、Snort简介Snort是一款基于规则的入侵检测系统，由Martin Roesch于1998年开发。

它主要用于监测和分析网络流量，以便及时发现和阻止潜在的网络攻击。

Snort具有开源、灵活、可定制等特点，因此被广泛应用于各种网络环境中。

二、Snort的工作原理Snort的工作原理主要分为三个步骤：数据包捕获、数据包分析和报警机制。

1. 数据包捕获Snort通过网络接口（如网卡）捕获传入和传出的数据包。

它可以在混杂模式下工作，即捕获所有经过网络接口的数据包，而不仅仅是目标主机的数据包。

这样可以确保Snort能够检测到所有的网络流量。

2. 数据包分析捕获到的数据包会经过一系列的分析过程。

首先，Snort会对数据包进行解析，提取出其中的各种字段信息，如源IP地址、目标IP地址、协议类型等。

然后，Snort会将数据包与事先定义好的规则进行匹配。

这些规则可以根据用户的需求进行定制，如检测特定的网络攻击行为或异常流量。

如果数据包与规则匹配成功，Snort将触发相应的报警机制。

3. 报警机制Snort的报警机制可以根据用户的需求进行配置。

当Snort检测到与规则匹配的数据包时，它可以采取多种方式进行报警，如发送电子邮件、生成日志文件或触发其他安全设备的动作。

这样可以及时提醒管理员发现潜在的网络攻击。

三、Snort的应用场景Snort可以应用于各种网络环境中，包括企业内部网络、数据中心、云环境等。

它可以帮助管理员及时发现和阻止各种网络攻击，如端口扫描、DDoS攻击、恶意软件传播等。

此外，Snort还可以用于安全审计和网络流量分析，帮助管理员了解网络的安全状况和性能瓶颈。

Snort 的安装步骤实训报告1.安装apache2.2.2将程序装入。

完成后开启服务，测试成功，如图所示：2.添加Apache对PHP的支持：@解压缩php-5.1.6-win32.zip至c:\php5目录下。

（在c:\提前建好的文件夹php5）@复制php5ts.dll文件到%systemroot%\system32（%systemroot%是windows安装目录）@复制php.ini-dist（修改文件名）至%systemroot%目录下，更名为php.ini3.打php补丁：有些版本不需要打补丁http.exe.manifest复制到c:\apache\bin后，重启apache服务不管用了！@解压缩php5apache2.dll-php5.1.x.zip到c:\php5apache2.dll-php5.1.x目录@将c:\ php5apache2.dll-php5.1.x.zip目录下的php5apache2.dll文件复制到c:\php5目录@将c:\ php5apache2.dll-php5.1.x.zip目录下的http.exe.manifest文件复制到c:\apache\bin目录下@运行c:\php5apache2.dll-php5.1.x目录下的vcredist_x86.exe文件@若vcredist_x86.exe不能安装，则安装.net2.0框架4.添加Apache对gd库的支持：@修改%systemroot%下的php.ini：找到“extension=php_gd2.dll”,去掉前面的“；”@拷贝c:\php5\ext\下的php_gd2.dll文件到%systemroot%\下@在c:\apache\apache2\conf\http.conf文件中添加下列语句：LoadModule php5_module c:/php5/php5apache2.dllAddType application/x-httpd-php .php5.测试php安装是否成功：在c:\apache\apache2\htdocs目录下新建test.php文件，在其中输入下列命令：<?phpinfo () ; ?>使用http://localhost/test.php测试php是否安装成功，如图所示：6.安装WinPcap：(网络数据包截取驱动程序)7.安装Snort@采取默认安装完成即可@安装完成使用下列命令行验证是否安装成功：C:\snort\bin>snort -W安装成功完成后如图：测试成功后，如图所示：8.安装和配置MySQL：(采取默认安装)安装完毕需要建立Snort的一些相关数据库，步骤如下：@建立Snort运行必须的Snort库和Snort_archive库：C:\mysql\bin>mysql -u root -p *** (此处口令为安装时设定的) create database snort;create database snort_archive;9.将c:\snort\schemas目录下的create_mysql复制到c:\mysql\bin下，建立Snort运行必须的数据表，实现语句为：mysql -u root –puse snortsource create_mysqlshow tables;use snort_archivesource create_mysql******************************10.为MsSQL建立snort和acid账号，使IDSCenter或acid能正常访问MySQL中与Snort相关的数据文件，实现语句为:grant usage on *.* to "acid"@"localhost" identified by "acidtest";grant usage on *.* to "snort"@"localhost" identified by "snorttest";11.为acid用户和snort用户分配相关权限，实现语句为：grant select,insert,update,delete,create,alter on snort .* to "snort"@"localhost";grant select,insert,update,delete,create,alter on snort .* to "acid"@"localhost";grant select,insert,update,delete,create,alter on snort_archive .* to"snort"@"localhost";grant select,insert,update,delete,create,alter on snort_archive .* to"acid"@"localhost";12.启用PHP对MySQL的支持:@修改php.ini：找到“extension=php_mysql.dll”，去掉前面的“；”@复制c:\php5\ext下的php_mysql.dll文件到%systemroot%下。

snort实验报告Snort实验报告引言：网络安全是当今社会中不可忽视的重要问题之一。

随着互联网的普及和发展，网络攻击事件频繁发生，给个人和组织的信息安全带来了极大的威胁。

为了提高网络的安全性，各种网络安全工具应运而生。

本文将介绍一种常用的入侵检测系统（Intrusion Detection System，简称IDS）工具——Snort，并通过实验评估其性能和效果。

一、Snort概述Snort是一种自由开源的网络入侵检测系统，由Martin Roesch于1998年开发。

它基于规则的机制，能够实时监测网络流量，并根据预定义的规则集进行入侵检测。

Snort具有灵活性和可扩展性，可以在不同的操作系统上运行，并支持多种协议和规则格式。

二、实验环境本次实验使用了一台基于Linux操作系统的虚拟机作为实验环境。

虚拟机的配置为4核心CPU、8GB内存和100GB硬盘空间。

在虚拟机中安装了Snort，并配置了合适的网络接口。

三、实验步骤1. 安装Snort：在虚拟机中下载并安装Snort软件包，完成基本的配置。

2. 编写规则：Snort的规则集决定了它能够检测到的入侵行为。

根据实际需求，编写一系列规则，如检测网络扫描、恶意软件传播等。

3. 启动Snort：使用命令行启动Snort，并指定需要监测的网络接口。

4. 监测网络流量：Snort开始实时监测网络流量，并根据规则进行入侵检测。

当检测到可疑行为时，Snort会生成警报信息。

5. 分析警报：通过分析Snort生成的警报信息，可以了解到网络中的潜在威胁，并采取相应的措施进行防护。

四、实验结果通过实验，我们得出以下结论：1. Snort能够准确地检测到各种入侵行为，包括网络扫描、恶意软件传播、拒绝服务攻击等。

它的规则集非常丰富，可以根据实际需求进行定制。

2. Snort具有较低的误报率。

在实验中，我们对一些正常的网络流量进行了模拟，并未触发Snort的警报。

3. Snort的性能较为稳定。

《计算机网络安全》实验报告实验序号： 2 实验项目名称：snort与其基础环境的安装配置学号姓名专业班级20网络工程实验地点指导教师实验时间2022-10-13 snort与其基础环境的安装配置【实验目的】1)熟悉基础环境的搭建和snort的安装配置【实验原理】1)Snort能够对网络上的数据包进行抓包分析，但区别于其它嗅探器的是，它能根据所定义的规则进行响应及处理。

Snort 通过对获取的数据包，进行各规则的分析后，根据规则链，可采取Activation（报警并启动另外一个动态规则链）、Dynamic（由其它的规则包调用）、Alert（报警），Pass（忽略），Log （不报警但记录网络流量）五种响应的机制。

Snort有数据包嗅探，数据包分析，数据包检测，响应处理等多种功能，每个模块实现不同的功能，各模块都是用插件的方式和Snort相结合，功能扩展方便。

例如，预处理插件的功能就是在规则匹配误用检测之前运行，完成TIP碎片重组，http解码，telnet解码等功能，处理插件完成检查协议各字段，关闭连接，攻击响应等功能，输出插件将得理后的各种情况以日志或警告的方式输出。

【实验环境】CentOS6.5：192.168.1.2【实验步骤】一、安装snort+barnyard21.1进入/home/software目录，解压libpcap-1.0.0.tar.gz。

如图1所示图11.2进入目录libpcap-1.0.0的目录执行“./configure”命令进行配置。

如图2所示图21.3执行命令“make && make install”，进行libpcap的编译安装。

如图3所示图31.4进入目录“/home/software”，ls查看文件，执行命令“tar zxvf daq-2.0.4.tar.gz”，解压daq-2.0.4.tar.gz文件。

如图4所示图41.5使用cd命令切换到daq-2.0.4的目录下。

实验报告课程名称网络信息安全实验名称实验三入侵检测系统实验1.使用 snort –W显示网卡接口可以看出，我电脑上的无线网卡的编号为5 2.测试Snort的嗅探器模式使用snort -vde在输出包头信息的同时显示包的数据信息，还要显示数据链路层的信息3.测试Snort的数据包记录器功能如果要把所有的包记录到硬盘上，需要指定一个日志目录，snort就会自动记录数据包：snort -dev -l ../log其中./log目录必须存在，否则snort就会报告错误信息并退出。

当snort在这种模式数据链路层、Tcp/IP报头及应用层信息写入当前目录log(log目录已建立)目录下的snort.log.1638321536文件中，而且这是二进制文件。

为什么不直接记录成方便阅读的ASCII格式呢？因为系统本生记录的格式就是二进制的，如果再转换成我们能识别的ASCII 格式无疑会加重系统负荷，所以Snort在做IDS使用时理应采用二进制格式记录。

记录的日志文件如下如果想查看二进制日志文件snort.log.1638321536，就得使用“r”参数snort –dv -r ../log/snort.log.16383215364.测试Snort作为网络入侵检测系统的功能snort –i 5 -dev –c ../etc/snort.conf –l ../log/其中snort.conf是规则集文件。

snort会对每个包和规则集进行匹配，发现这样的包就采取相应的行动。

最好不要使用-v选项。

因为使用这个选项，使snort向屏幕上输出一些信息，会大大降低snort的处理速度，从而在向显示器输出的过程中丢弃一些包。

此外，在绝大多数情况下，也没有必要记录数据链路层的包头，所以-e选项也可以不用这里-i 5 表示系统里面的第5块网卡，我最开始已经查看过我电脑里无线网卡的编号为5。

snort有6种报警机制：full、fast、socket、syslog、smb(winpopup)和none。

《网络安全技术》实验报告姓名系别实验地点A406学号年级班实验时间2012-5-24 成绩评定教师签字实验项目一、实验目的1. 通过实验进一步理解IDS的原理和作用；2. 学习安装、配置和使用Snort入侵检测系统；3. 学习分析Snort警报文件；4. 结合指定的攻击特征，学习如何创建检测规则。

二、实验内容1. 学习Snort基础知识；2. 安装工具软件（snort、winpcap和nmap）扫描工具；3. 使用snort进行Xmax扫描检测和目录遍历攻击；4. 创建和测试规则；三、实验步骤（一）软件安装1. 打开计算机安装nmap，安装时全部按照默认设置直至安装成功。

2. 如果计算机上没有安装winpcap4.1或以上版本，则需要安装，安装时全部按照默认设置直至安装成功。

3. 打开虚拟机，启动windows server 2003，安装snort，将snort安装在C盘，安装时全部按照默认设置直至安装成功。

4. 在虚拟机上安装winpcap，安装时全部按照默认设置直至安装成功。

（二）将snort用作嗅探器snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。

嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。

数据包记录器模式把数据包记录到硬盘上。

网路入侵检测模式是最复杂的，而且是可配置的。

我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。

在虚拟机上（IP：172.28.15.150）：1.单击[开始]-[运行]并输入cmd进入命令行。

2.在命令行中键入cd c:\snort\bin，回车确认。

3．键入snort –h，回车确认，这将显示可以与snort一起使用的命令行选项的帮助文件（认真看一下每一个选项的涵义）。

3.键入snort –vde，并回车确认。

在宿主机上（IP：172.28.15.151）：5.单击[开始]-[运行]并输入cmd进入命令行。

Snort安装与配置Snort是免费NIPS及NIDS软件，具有对数据流量分析和对网络数据包进行协议分析处理的能力，通过灵活可定制的规则库(Rules)，可对处理的报文内容进行搜索和匹配，能够检测出各种攻击，并进行实时预警。

Snort支持三种工作模式：嗅探器、数据包记录器、网络入侵检测系统，支持多种操作系统，如Fedora、Centos、FreeBSD、Windows等，本次实训使用Centos 7，安装Snort 2.9.11.1。

实训任务在Centos 7系统上安装Snort 3并配置规则。

实训目的1．掌握在Centos 7系统上安装Snort 3的方法；2．深刻理解入侵检测系统的作用和用法；3．明白入侵检测规则的配置。

实训步骤1．安装Centos 7 Minimal系统安装过程不做过多叙述，这里配置2GB内存，20GB硬盘。

2．基础环境配置根据实际网络连接情况配置网卡信息，使虚拟机能够连接网络。

# vi /etc/sysconfig/network-scripts/ifcfg-eno16777736TYPE="Ethernet"BOOTPROTO="static"DEFROUTE="yes"IPV4_FAILURE_FATAL="no"NAME="eno16777736"UUID="51b90454-dc80-46ee-93a0-22608569f413"DEVICE="eno16777736"ONBOOT="yes"IPADDR="192.168.88.222"PREFIX="24"GATEWAY="192.168.88.2"DNS1=114.114.114.114~安装wget，准备使用网络下载资源：# yum install wget –y将文件CentOS-Base.repo备份为CentOS-Base.repo.backup，然后使用wget下载阿里yum 源文件Centos-7.repo：# mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup#wget –O /etc/yum.repos.d/CentOS-Base.repo /repo/Centos-7.repo更新yum源，并缓存：# yum clean all# yum makecache# yum -y update3．安装Snort安装epel源：# yum install -y epel-release安装依赖：经过前面的设置阿里源、源更升级后，将能够很顺利的安装完依赖。

实验报告学院：计算机院专业：信息安全班级：9.Winpcap安装包实验步骤1。

安装Apache_2.0.46：（1）安装在默认文件夹C：\apache下：（2)打开配置文件C:\apache\apache2\conf\httpd。

conf，将其中的Listen 8080，更改为Listen 50080：（3)进入命令行运行方式，转入C：\apache\apache\bin子目录，输入下面命令：C：\apache\apache2\bin>apache –k install：2.安装PHP（1）解压缩php—4.3.2-Win32。

zip至C:\php。

（2）复制C：\php下php4ts。

dll 至%systemroot％\System32，php.ini—dist 至%systemroot％\php.ini。

（3）添加gd图形支持库，在php。

ini中添加extension=php_gd2.dll。

如果php.ini 有该句，将此句前面的“；"注释符去掉（4）添加Apache对PHP的支持。

在C：\apahce\apache2\conf\httpd。

conf中添加：LoadModule php4_module “C:/php/sapi/php4apache2.dll”AddType application/x-httpd-php .php（5）进入命令行运行方式，输入下面命令:Net start apache2（6）在C：\apache\apche2\htdocs目录下新建test.php测试文件,test。

php文件内容为<?phpinfo()；?〉使用http：//127.0。

0。

1:50080/test。

php测试3.安装snort4。

安装配置Mysql数据库(1)安装Mysql到默认文件夹C:\mysql(2）在命令行方式下进入C:\mysql\bin，输入下面命令：C：\mysql\bin\mysqld ––install （3）在命令行方式下输入net start mysql,启动mysql服务（4）进入命令行方式,输入以下命令C：\mysql\bin〉mysql –u root –p（5）在mysql提示符后输入下面的命令（（Mysql〉)表示屏幕上出现的提示符，下同）：（Mysql〉）create database snort;（Mysql>）create database snort_archive；（6）输入quit命令退出mysql后，在出现的提示符之后输入：(c：\mysql\bin>）Mysql –D snort –u root –p<C:\snort\contrib\create_mysql（c：\mysql\bin〉）Mysql –D snort_archive –u root –p〈C:\snort\contrib\create_mysql（7）再次以root用户身份登录mysql数据库，在提示符后输入下面的语句：(mysql>）grant usage on *.＊to “acid”＠”loacalhost” identified by “acidtest";（mysql>）grant usage on *。

实验：入侵检测系统（Snort）的安装与配置一、实验目的学会WINDOWS下SNORT的安装与配置二、实验环境WinXP虚拟机三、实验步骤与结果一．在“我的电脑”中C盘中建立文件夹“zhangxiaohong”二．安装WinPcap，运行WinPcap_4_1_2.zip，默认安装。

三．安装mysql，运行mysql-5.0.22-win32.zip，选择自定义安装选择安装路径C:\zhangxiaohong\mysql 下，安装时注意：端口设置为3306（以后要用到），密码本实验设置成123四．安装apache1.运行apache_2.2.4-win32-x86-no_ssl.zip，安装到c:\zhangxiaohong\Apache2.安装Apache，配置成功一个普通网站服务器3.出现Apache HTTP Server 2.0.55的安装向导界面，点“Next”继续4.确认同意软件安装使用许可条例，选择“I accept the terms in the licenseagreement”，点“Next”继续5.将Apache安装到Windows上的使用须知，请阅读完毕后，按“Next”继续6.选择安装类型，Typical为默认安装，Custom为用户自定义安装，我们这里选择Custom，有更多可选项。

按“Next”继续7.出现选择安装选项界面，如图所示，左键点选“Apache HTTP Server 2.0.55”，选择“This feature, and all subfeatures, will be installed on local hard drive.”8.即“此部分，及下属子部分内容，全部安装在本地硬盘上”。

点选“Change...”，手动指定安装目录。

9.我这里选择安装在“C:\zhangxiaohong\Apache”，各位自行选取了，一般建议不要安装在操作系统所在盘，免得操作系统坏了之后，还原操作把Apache配置文件也清除了。